так, всем доброй ночи

на данный момент изучаю известный материал по уязвам SecureBoot

это мне нужно для написания второй части, буткита под линукс

как будет действовать теоретический буткит? ☠️

через kernel land руткит мы получаем доступ к рут и файлам grub, загружаем PXE и видоизменяем его для удалённого управления (на основе атак PXE Pre-Boot)

но тут есть одна загвоздка 👁

просто так код не получится внедрить, так как в Linux даже при наличии grub у любой физической системы (кроме старых, которые с первой версией grub) есть BIOS/UEFI с SecureBoot

далее, я перепишу CVE Baton Drop для SecureBoot Bypass для линукса, чтобы обойти цифровую подпись 😱

но нужно что-то придумать, так как Baton Drop работает на системах с версиями UEFI до 22 года

не знаю, насколько рабочая будет схема, но попытаться это реализовать стоит, думаю)

надеюсь, этот концепт сработает...

P. S. надо ещё кстати придумать, как задействовать атаку Evil Maid

#white_matter #bootkit #linux

доброй ночи (стабильно, да :))

есть определенные успехи в написании второй части, однако grub rescue shell удаленно пока не удалось запустить

нужно разобраться, как выставить правильно таймаут после перезагрузки системы, чтобы поймать шелл

сейчас код работает так:

1. коннектимся по ssh к удаленной машине с уже сбрученными кредами
2. далее сканируем локальную сетку на нужные MAC-адреса
3. устанавливаем контроль за определенным MAC адресом удаленной машины
(далее, я внесу изменения, позволяющие определять точный MAC удаленной машины, в ВМ есть некоторые сложности с этим; также будет детект ВМ и раздельная логика для эксплуатации физических систем и виртуализированных)
4. парсим IP из аргументов командной строки и привязываем его к нужному MAC
(пока что это делается через отдельную опцию выполнения удаленной команды, потом пофиксим)
5. далее производится установка rescue system для GRUB
6. установка нужных компонент (dnsmasq для перехвата DHCP пакетов, PXE для удаленного управления и формирование malicious GRUB config)
7. перезагрузка через PXE
8. ну и тут должно быть теоретическое получение GRUB rescue shell

может быть, я и найду путь попроще, хз)

если будет включен SecureBoot в системе, то есть (по крайней мере, что я нашел) три пути:

а) использовать уязвимости в подписанных загрузчиках
б) компрометировать ключи подписи
в) использовать легитимные образы с уязвимостями

мне лично импонируют пути а) и б), так как по моему мнению использовать готовый образ не тру, хе-хе

по пути б) могу сказать, что уже сливали как-то мастер ключ UEFI от мелкософта, позволяющая обойти SecureBoot: https://www.opennet.ru/opennews/art.shtml?num=44950

но это тоже не тру путь, как по мне

поскольку на новых версиях UEFI это наверное уже пофиксили (но эт не точно, не проверял)

так что только путь а), только хардкор 💀

также для обхода LUKS шифрования в линукс будет использоваться модифицированная Evil Maid атака, но больше это будет похоже на атаку Evil Buttler в шиндоус, но с уклоном в ssh, а не RDP

пока что все идет в ВМ, я думаю позже купить отдельный миникомп, либо плату Intel Galileo и туда накатить линукс и тестировать на ней, если это конечно возможно; впрочем, я думаю, что это возможно, так как известный в комьюнити по безопасности UEFI Николай Шлей, ник: CodeRush, написал целую серию статей по написанию дров для UEFI на этой плате

(почитать можно тут: https://habr.com/ru/articles/236743/)

думаю, что варик с платой лучше, потому как на нее теоретически можно поставить все что хочешь, а тем более линукс

я уверен, что этот концепт сработает, но уверенность не стопроцентная...

P.S. спасибо, что читаете мою шизофазию
мне приятно

так что, до связи, до новых результатов 🐱

всем привет, решил немного отдохнуть и отвлечься (на самом деле, поиграть в hollow knight silksong😈)

из новостей могу сказать то, что пришла моя intel galileo, а это значит, что в скором времени буду ее тестить, накатывать на нее различные драйвера UEFI

также решил переписать код тулзы из первой части релиза, сделать код более читаемым, разделить его на несколько файлов

код скоро обновлю в репо

так что, ожидайте :)

всем привет, начну с плохой новости ☠️

в ходе разбора, установки ipxe и написания бэкдора было принято решение прекратить разработку буткита на основе данной технологии

в силу того, что это слишком ресурсозатратно, более того медленно (очень), только для одной удаленной тачки, я решил, что не стоит дальше вскрывать эту тему

так как молодой и шутливый, а именно я, понял что разработка дальнейших частей, а именно ботнета, в третьей части будет настоящим адом, что вьетнамские флэшбеки покажутся сказкой по сравнению с буткитом на основе ipxe 😤

в общем, это слишком трудозатратно и подходит только для предустановленных pxe на системах

к примеру, для установки всех компонентов только на одну удаленную машину мне потребуется как минимум (!) полчаса (tftp, apache для скачивания grubnetx с моей машины сервака и прочая фигня) при лучшем раскладе

но есть и хорошие новости (как же без них)

я постепенно осваиваю мир фаззинга через afl, libFuzzer и Honggfuzz

все бывает в первый раз, хехе)

есть хороший цикл статей на тему фаззинга кода grub: https://sthbrx.github.io/blog/2021/03/04/fuzzing-grub-part-1/

идея в том, что код загрузчика выполняется на уровне ring 0 и найденная уязвимость в граб чаще всего ведет к эксплоиту, с помощью которого можно написать буткит, переживающий переустановку ос

не люблю высокопарно говорить, но нахождение таких уязв чаще всего "Святой Грааль" для хакера, особенно для меня, хоть я пока еще и не находил таких уязв, хах 👹

я думаю остановится на следующих ненадежных данных на ранней стадии загрузки grub и uefi:
1) образы дисков (MBR, GPT, etc)
2) файловые системы (поиск grub.cfg и критичных модулей)
3) шрифты, изображения
4) конфиги
5) модули ядра linux (initrd, vmlinuz)
6) acpi tables (UEFI)
7) спец образы (EFI Executables, Device Tree Blobs)

также я помню, что обещал рассказать про опыт с UEFI и Intel Galileo, BatonDrop, но это чуть позже

меня еще заинтересовала другая уязвимость - BootHole (почитать тут: https://xakep.ru/2020/07/31/grub2-boothole/)

также еще одна новость: я месяц назад реализовал на голанге довольно интересный криптографический алгоритм, математическую реализацию которого придумал еще в детстве, а также написал собственную реализацию виртуальной машины lc3 (также на голанге)

все это будет в скором времени выложено на мой гитхаб

сори за длиннопост, надеюсь хоть чем-то вас заинтересовал

#notes #white_matter #bootkits

доброй ночи всем

надеюсь, я вас не задолбал своими ночными постами :)

код я выложил

по lc3 вм не стал расписывать в ридми как все работает, поскольку все уже есть тут:
https://www.jmeiners.com/lc3-vm/

собственно, я и делал все по этому гайду)

репо lc3 вм: https://github.com/lain0xff/yet-another-lc3-vm

в общем, довольно интересный получился опыт, намучился я конечно с нормальным отображением cli игры 2048, но в итоге все решилось заменой гошной библиотеки и переписыванием основных функций

я ещё вернусь к этому проекту, но уже буду пробовать реализовывать запуск ассемблерного кода, как в некоторых реализациях на гитхабе

можт даже си затрону

кстати, я не просто так начал писать свои реализации этих проектов

это нужно, чтобы понять, куда мне двигаться в написании буткита

в частности, понять как работает в этих проектах виртуализация и эмуляция и как мне использовать это

далее я буду делать следующие вещи:
1. свой загрузчик
2. минимальный вариант ос (xv6)
3. минимальный эмулятор процессора
4. гипервизор (чисто just for fun, как вы любите)

а потом уже буду писать свои дрова UEFI, и тестить их на Intel Galileo

(да, кстати, её фотку скину завтра, чтобы подогреть интерес)

и да я хочу купить ещё процессор Intel, чтобы тестить Intel ME на бреши в защите

(https://habr.com/ru/companies/pt/articles/341946/)

только вот где надыбать специальный JTAG отладчик для этого...

SecureBoot и TPM тоже не останутся в стороне 😎

кстати купил плату Heltec мештастик, как придёт буду тестить

мы пилим проект по мештастику и LoRa, но он пока не будет публичным, пока не будет готова минимально рабочая версия и код не пройдёт тестирование

скажу лишь, что это очень объёмный проект и он превышает по сложности все мои проекты вместе взятые

может быть, если кому будет интересно, будем попозже вести набор в команду этого проекта, так как пока что нас всего два человека

а, да, забыл

ещё я писал про свой крипто алгоритм

вот его реализация: https://github.com/lain0xff/CryptoDecompose

в ридми подробно расписано, как все работает

ух, объёмный получился пост ❤️

P. S. силксонг так и не прошёл полностью 🥲
P. P. S. совсем забыл про свой старый гит и siem, думаю найти время доделать

#notes #all_in